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Introducción 


“The university is as bad as the university / For a better education”(1), ésta leyenda 
apareció en un fondo negro en el sitio https://biblioteca.ues.edu.sv el día 11 de julio del 
año 2020, anunciando así que la seguridad del sitio había sido comprometida, es un típico 
ejemplo de un deface web, un término que hace referencia a modificar de forma no 
autorizada un sitio de terceros para dejar un mensaje y firma del autor del acto vandálico, 
en este caso la firma que se encontró en el sitio se atribuye a un pirata informático 
llamado “CORT3X”, adicionalmente también se vio afectado el sistema de registro 
académico “PROMETEO”. 


Resumen 


Esta investigación recopila información obtenida de distintas fuentes de datos para hacer 
una serie de correlaciones sobre la identidad de este pirata informático “CORT3X”, entre 
ellas utilizando parámetros avanzados de búsqueda de google, sitios web, búsqueda 
inversa de imágenes, servicios de consulta de filtraciones de datos, registros históricos de 
defaces, notas periodísticas y finalmente redes sociales como Facebook. 


En el desarrollo de la misma se logró localizar a una persona que utiliza el pseudónimo 
“CORT3X” y se le realizó una entrevista en la cual se abortaron temas sobre su modus 
operandi, además de su participación en un grupo llamado “Pacman Corp” y sobre su 
supuesta participación en el suceso. 


Finalmente se llegó a una conclusión que apunta a una suplantación de identidad y un 
acto de sabotaje de alguien motivado con fines políticos. 


Planteamiento del problema 


El ciberataque provocó una interrupción en las labores de la universidad y puso en riesgo 
la privacidad y seguridad de los registros de las personas inscritas en el sistema, ¿Quién es 
el autor o autores del ataque? ¿Cuál es la motivación de el mismo? ¿Cuál fue el efecto del 
mismo? 


Antecedentes 


No existen antecedentes de una investigación que se haya hecho pública acerca de este u 
otro ciberataque hacia la infraestructura de la Universidad de El Salvador. 


Aun así no es la primera vez que la universidad recibe algún tipo de acto de vandalismo 
similar, por ejemplo en el sitio web www.zone-h.org/archive que se dedica a documentar 
defaces web, existe el registro de al menos 17 ocasiones desde el año 2005 en las cuales 
ha ocurrido. 


Total notifications: 17 of which 10 single ip and 7 mass defacements 


Legend: 

H - Homepage defacement 

M - Mass defacement (click to view all defacements of this IP) 

R - Redefacement (click to view all defacements of this site) 

L - IP address location 

X- Special defacement (special defacements are important websites) 


Date Notifier H MR L % Domain os View 

2020/06/13 KingSkrupellos pa» minerva.sic.ues.edu.sv/public/... Linux mirror 
2018/05/08 Mr-Cakil M pr > www.congresohistoria.humanidad... Linux mirror 
2018/05/08 Mr-Cakil M == www.academica.humanidades.ues.... Linux mirror 
2018/05/08 Mr-Cakil M po >| www.postgrados.humanidades.ues... Linux mirror 
2018/05/08 Mr-Cakil M == www.secretaria.humanidades.ues... Linux mirror 
2018/05/08 Mr-Cakil M po | www.periodismo.humanidades.ues... Linux mirror 
2018/04/27 cd AS == proyeccion.social.agronomia.ue... Linux mirror 
2018/04/25 Mr-Cakil pao] www.quimicayfarmacia.ues.edu.s... Linux mirror 
2018/04/25 Mr-Cakil M == www.odontologia.ues.edu.sv/sit... Linux mirror 
2018/04/20 jok3r M ps» academica.cimat.ues.edu.sv/133... Linux mirror 
2018/04/20 h0d3_g4n '=  icmares.cimat.ues.edu.sv/toch.txt Linux mirror 
2017/08/01 CyBeRiZM == revistas.ues.edu.sv/public/sit... Linux mirror 
2015/04/16 Laakel En Person H == www.uese.ues.edu.sv Linux mirror 
2015/01/19 MexicanHackers pa www.genero.ues.edu.sv/x.txt Linux mirror 
2014/09/14 Index Php pa chagasecosalud.censalud.ues.ed... Linux mirror 
2014/04/14 Moroccan Hassan par www.defensoria.ues.edu.sv//ima... Linux mirror 
2005/11/25 byond hackers team H www.matematica.ues.edu.sv Linux mirror 


Además en un foro de discusión anglosajón de intercambio de filtraciones de datos se hizo 
pública la información de 1,700 estudiantes registrados en 


http://www bienestar.ues.edu.sv, esto sucedido el día 18 de julio del 2020 y no existe 
ningún comunicado oficial al respecto. 


https://raidforums.com/Thread-x1700-Student-data-http-www-bienestar-ues-edu- 





sv?highlight=Universidad+de+El+Salvador 


x1700 Student data [http://www.bienestar.ues.edu.sv] 


New Reply 
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https://anonfiles.com/ne2aCaG0oc/down3d-ues_zip 





Aparte de eso existe un mercado negro de credenciales y accesos robados que ofrece a la 
venta dos accesos a paneles de administración del sistema de correos de la universidad 
solicitando como medio de pago bitcoin, lastimosamente estos acontecimientos exceden 
a los objetivos de este documento y no se entrará en detalle con ellos. 


Delimitación del problema 


Los hechos a estudiar en la investigación comprenden desde el 11 de julio del 2020 al 12 
de julio del mismo año, ocurrió en el subdominio de la universidad 
https://biblioteca.ues.edu.sv/ y el sistema PROMETEO de la misma, afectando el cambio 
de notas del ciclo 1-2020, dado el funcionamiento de internet el ataque pudo haber sido 
realizado de cualquier parte del mundo, aunque se da por supuesto que existe la 
probabilidad que el autor o autores del hecho sean de nacionalidad Salvadoreña. 


Justificación 


La realización y publicación de este reporte es importante porque no se ha realizado una 
similar acerca de lo sucedido, es necesario identificar a los responsables dado que es una 
acción maliciosa que pone en riesgo la integridad de la institución y de la seguridad 
personal de los estudiantes dado el contenido de información privada que se aloja en sus 
servidores, es necesario dar seguimiento a las amenazas de la red tanto como las físicas 
dado estamos en una era de la información y el internet se ha vuelto parte de nuestra vida 
diaria. 


Objetivos 


Objetivo general: 


Analizar la información obtenida con fuentes abiertas para entender el contexto en el cual 
se realizó el ciberataque. 


Objetivos específicos: 


- Desanonimizar la identidad detrás del pseudónimo de CORT3X. 

- Encontrar posibles motivaciones del ciberataque. 

- Comprobar si el ataque fue organizado por un actor interno. 

- Obtener toda la información posible que tenga correlación con lo sucedido. 
- Procesar la información obtenida para luego analizarla de forma crítica. 

- Rastrear a el autor/autores del ataque utilizando la información analizada. 


- Descartar posibles hipótesis acerca del ataque. 


Hipótesis 


Toda acción tiene una causa, toda causa tiene un efecto, esto es algo que siempre se debe 
tener en cuenta a la hora de analizar un ciberataque, en este caso tenemos dos tipos 
diferentes, por una parte un defacement y por otro una modificación a un sistema de base 
de datos, los motivos de un defacement, que viene a ser como un grafiti digital suelen ser 
políticos, religiosos o en la mayor parte de los casos por diversión de los hackers que se 
dedican a hacer la mayor cantidad de defaces posibles para ganar fama acumulando 
“trofeos” y suelen dejar imágenes, frases y su firma en el sitio alterado para que todos 
sepan quién lo modificó 


Los defaces hechos por personas que dedican a hacerlos como pasatiempo no hacen 
ataques dirigidos, suelen ser al azar buscando vulnerabilidades en servidores de internet, 
pero sin profundizar en ellos, lo cual puede apuntar a que los motivos de éste ataque no 
fué realizado por alguien por diversión, sino con otros motivos, personas que podrían 
beneficiarse del suceso, ya sea de forma económica o política, siendo en ese entonces una 
época de gran tensión social/política en El Salvador por el manejo de la pandemia, el 
manejo de fondos públicos y los conflictos entre distintos órganos del gobierno. 


El día siguiente se publicó un comunicado oficial en el cual se sugiere que este ataque es 
motivado por la posición ante la deuda presupuestaria de $13,000,000 y por “otras 
opiniones respecto al contexto de la realidad nacional”, la verdad es que esas son 
acusaciones sarcásticas muy extrañas, no tiene sentido que el gobierno intente 
desestabilizar una institución pública como lo es la UES. 


https://twitter.com/UESoficial/status/1282396252567744513/photo/1 


Expuesto el contexto es posible que el responsable sea alguien interno, que busque 
influenciar políticas o económicamente la situación de la universidad. 


Marco Teórico 


Existe una vasta documentación acerca del tema de los defacements, según Luis Diago de 
Aguilar «Defacement es un ataque a un sitio web que cambia la apariencia visual de una 
página web. Normalmente son producido por “hackers” (no no no, ciberdelincuentes) que 
obtuvieron algún tipo de acceso a ella, bien por algún error de programación de la página, 
por algún bug en el propio servidor o por una mala administración de este.» (2) 


Motivaciones 


Desde Trendmicro nos exponen una serie de motivaciones que un atacante puede tener a 
la hora de realizar un deface: 


Los atacantes pueden tener diferentes motivaciones cuando alteran un sitio web. La 
motivación política es una. Los atacantes que están en contra de un gobierno o un 
movimiento en particular pueden optar por alterar los sitios web relacionados para 
ventilar sus puntos de vista. Los atacantes que hacen esto se conocen como "hacktivistas". 
Pueden cambiar el contenido del sitio web alterado con una imagen o un mensaje de su 


elección. 


Otros atacantes pueden optar por alterar un sitio web por diversión, para burlarse de los 
propietarios del sitio al encontrar vulnerabilidades del sitio web y aprovecharlas para 
alterar el sitio web. Estos atacantes "se burlan" de los propietarios del sitio. Al igual que 
los hacktivistas, estos atacantes alteran un sitio web con una imagen o un mensaje de su 
elección. (traducido) (3) 


Vectores de Ataque 


Cuando nos referimos a vectores de ataque hacemos alusión a formas en las que un 
atacante puede comprometer un sistema informático y lograr alterar el contenido del sitio 
web, el INCIBE(4) (Instituto de Ciberseguridad) hace un listado de los mismos: 


e Robo de credenciales de acceso mediante malware enviado por correo electrónico. 


e Explotación de vulnerabilidades en gestores de contenido desactualizados con plugins 
antiguos o mal configurados. 


e Servidores web infectados por malware o ataques realizados a través de dominios 
alojados en el mismo servidor ya comprometido. 


Ciberamenazas en relación a 
las universidades 


El Estudio de Ciberseguridad en el sector universitario llevado a cabo por Deloitte(5), 
según el cual el 80% de las universidades participantes declararon haber sufrido algún 
incidente en los últimos 12 meses. De ellas, el 62% ha sufrido entre 2 y 5 ciberataques y el 
10% recibió más de 10. Estos datos vienen a ilustrar la creciente preocupación que existe 
actualmente en las organizaciones por sus posibles efectos, y que han motivado que las 
ciberamenazas hayan escalado a las posiciones más altas de los mapas de riesgos de las 
empresas, de forma que son monitorizados cada vez más de cerca por los Consejos de 
Administración. 


Consecuencias de Ciberataques 


Se reporta mediante el informe The State of Cybersecurity and Digital Trust 2016 realizado 
por Accenture(6) que durante el año 2016 un 69% de las empresas ha sufrido algún robo 
o intento de robo de datos, usualmente los ataques buscan simplemente dañar sus 


infraestructuras, extorsionar a las empresas como por ejemplo usando rasomware y forzar 
a las víctimas a pagar grandes sumas para tener acceso a la información secuestrada por 
los piratas informáticos y finalmente tenemos el robo directo; referente a la sustracción 
de información confidencial o propiedad intelectual. 


En el artículo “Qué consecuencias puede tener un ciberataque para tu empresa” del blog 
Reasonwhy(7) se definen distintas consecuencias directas de un ciberataque: 


Pérdida de datos 


Los ataques cibernéticos normalmente giran en torno al robo de información sensible 
como investigaciones, estrategias empresariales, informes financieros... Las bases de 
datos digitales también están en el punto de mira de los hackers. Perder esta información 
puede, literalmente, conducir a la ruina a muchas empresas. 


Y es que, en muchas ocasiones, las empresas que más cantidad de datos manejan son 
sometidas a la extorsión de los ciberdelincuentes. Los hackers piden grandes cantidades 
de dinero a cambio de no atacar los sistemas corporativos o de dejar de hacerlo. 


Desembolso económico 


Bien sea por extorsión; bien sea por los costes de reparación y limpieza de las 
infraestructuras afectadas, un ciberataque siempre conlleva un desembolso económico 
para la empresa. 


Y la merma es más acusada cuando se trata de empresas pequeñas, porque no sólo tienen 
que hacer frente al coste de recuperar los datos robados, sino también a la posible 
pérdida de clientes; la fuga de empleados, que se sienten más inseguros tras el 
ciberataque; y el coste de instalar nuevos sistemas de seguridad en la empresa (cambio de 
contraseñas, nuevo antivirus...). También hay que contar con los costes de 
reestructuración en caso de que, a raíz de un hackeo, se haya contratado plantilla extra. 


Cambio en el modelo de negocio 


El cibercrimen puede tener consecuencias para las empresas más allá del aspecto 
financiero. Algunas llegan a replantearse la forma en la que recopilan los datos y la 
información de sus clientes, para asegurarse de que ésta no vuelva a ser vulnerable. 


De hecho, muchas empresas optan por no volver a almacenar los datos personales y 
financieros de sus clientes, tales como tarjetas de crédito o fecha de nacimiento. 


En el caso de los e-commerce, algunos han llegado a cerrar el site por su incapacidad para 
hacer frente a este tipo de ataques masivos. Y es que los clientes hoy en día son muy 
celosos de su privacidad y no confían sus datos financieros a aquellas empresas que tienen 
fallos de seguridad. 


Pérdida de reputación 


No solo los empleados se sentirán más inseguros y los clientes podrían dejar de serlo, sino 
que un ciberataque, en términos generales, siempre lleva implícita una pérdida de 
reputación. Serán muchos los que cuestionen la capacidad de la empresa para protegerse 
de este tipo de ataques y pondrán en tela de juicio sus procesos internos. 


OSINT 


La inteligencia de fuentes abiertas (en inglés, open-source intelligence, también conocido 
por su acrónimo OSINT) es una metodología multifactorial (cualitativa y cuantitativa) de 
recolección, análisis y toma de decisiones sobre datos de fuentes disponibles de forma 
pública para ser utilizados en un contexto de inteligencia. En la comunidad de 
inteligencia, el término "abiertas" se refiere a fuentes disponibles públicamente, en el 
sentido de opuestas a fuentes secretas o clandestinas. No está relacionado con software 
libre o software de fuentes abiertas o inteligencia colectiva. — Open Source Solutions 
Inc.(8) 


Enfoque 


Considero adecuado para esta investigación dada su naturaleza dar un enfoque 
epistemológico cualitativo, utilizando tres distintos métodos, como hermenéuticos, 
fenomenológicos y de recolección de información. 


Metodología 


En ésta investigación se utilizaron técnicas de análisis de OSINT, según OSS(8) se define 
como “Una metodología multifactorial de recolección, análisis y toma de decisiones sobre 
datos de fuentes disponibles de forma pública para ser utilizados en un contexto de 
inteligencia.”, estas fuentes se pueden dividir en seis categorías principales, las cuales 
son(9): 


e Medios de comunicación: periódicos, revistas, emisoras de radio y cadenas de 
televisión; 

e Internet: publicaciones en línea, blogs, grupos de discusión, medios ciudadanos 
(como vídeos grabados con teléfono móvil y contenidos creados por usuarios), 
YouTube y redes sociales (como Facebook, Twitter o Instagram). 

e Datos gubernamentales: informes, presupuestos, audiencias, guías telefónicas, 
conferencias de prensa, mítines, discursos y sitios web gubernamentales. 

e Publicaciones profesionales y académicas: información sacada de revistas 
académicas, conferencias, simposios, disertaciones y tesis. 

e Datos comerciales: imágenes comerciales, evaluaciones financieras e industriales y 
bases de datos. 

e Literatura gris: informes técnicos, preimpresiones, patentes, documentos de 
trabajo, documentos comerciales, trabajos inéditos y boletines. 


En este caso nos centraremos en dos principalmente, medios de comunicación e internet 
como fuentes de información primarias 


Como herramienta principal se utilizaron los parámetros de búsqueda avanzada de 
google, al ser el más popular motor de búsquedas global nos provee de una enorme 
cantidad de resultados, pero con la ayuda de sus filtros de búsqueda podemos encontrar 
información muy específica, he aquí un ejemplo de su funcionamiento: 


inurl:”ues.edu.sv/” intext:biblioteca 


Primero especificamos una serie de caracteres que se encuentran en el hiperenlace, luego 
especificamos una cadena de texto que se debe encontrar en el sitio. 


Ciclo de inteligencia 


Logramos efectuar la investigación con la metodología usada en el ciclo de inteligencia, 
que se representa de forma gráfica a continuación (10): 


Requisitos 


Fuentes de 


Inteligencia k EN 
información 


Análisis Adquisición 


Procesamiento 





Primero definimos el problema, también planteamos los objetivos e hipótesis. 


Luego identificamos fuentes de información para luego pasar a el proceso de adquisición 
de 


forma ordenada y procesar esos datos logrando dar pie a un análisis lógico de la 
información obtenida. 


Ya hecho el análisis podemos generar un reporte de inteligencia y satisfacer los requisitos 
establecidos al principio. 


Técnicas de Investigación 


Fuentes de información: 


Parámetros de búsquedas avanzadas en el buscador web Google. 


https://www.zone-h.org/ / Sitio dedicado a documentar y respaldar información 
relacionada a los defaces web en el mundo. 


Sitios de verificación de credenciales comprometidas: 
Have ¡ been pwned: https://haveibeenpwned.com/ 
Dehashed: https://dehashed.com/ 

Intelligence X: https://intelx.io/ 

Pwndb: http://pwndb2am4tzkvold.onion 


Red social Facebook. 


Adquisición: 


De acuerdo con algunos estudiantes del Alma Máter, al entrar al expediente las notas de 
la carga académica correspondientes al ciclo 01 de este 2020 habían sido modificadas con 
la nota 6.90 en todas las materias. Asimismo, al ingresar a la página web de la biblioteca 
universitaria, los estudiantes se encontraban con fallas y no lograban entrar al sistema (1). 


Comenzamos con una nota publicada por elsalvador.com en: 


https://www.elsalvador.com/noticias/nacional/hackean-sistema-web-universidad-el- 





salvador/732239/2020/ 


En un audio compartido por la fuente, Azcúnaga explica que “al parecer fueron unas 
actualizaciones que han generado esa situación y están tratando de recuperar lo que ya 
estaba introducido en el sistema (las notas) y se podrá visualizar”. 


“Bien raro que ni a los correos institucionales de cada empleado de la UES, autoridades ni 
los encargados del sistema hayan avisado que el sistema presentaría problemas, no 


explican qué pasa y para cuándo estará arreglado. Eso hace pensar que no quieren admitir 
el hackeo del sistema”, mencionó un docente de la UES. 


“Este 15 de julio, estaba programado como último día de introducir notas al sistema 
Prometeo y para los docentes que aún no han terminado, esperamos que den prórroga, 
ya por segundo día y nada claro” añadió. 


€ Notas parciales 


5.00 EXAMEN CORTO 1 

20.00% EXAMEN PARCIAL 1 
20.00 EXAMEN PARCIA 2 
20.00 EXAMEN PARCIAL 3 
5.00 EXAMEN CORTO 1 
5.00 EXAMEN CORTO 2 
5.00% EXAMEN CORTO 3 | 6.90 ] 
15.00% TAREA EX AULA 
10.00% GUIA DE DISCUSION | 6.90 ] 
Promedio Ez 


PDM115: Programación para Dispositivos Móviles 


15.00% Parcial 1 

15,00 Parcial 2 [6.90 ] 

20.00% Proyecto 1 | 6.90 ] 

20.00 Parcial 3 

30.00 Proyecto 2 

Promedio 17.1] 
19) > 4 


Seguidamente se realiza una búsqueda en google “inurl:biblioteca.ues.edu.sv “cOrt3x”” 


php fpm diana man covid vb6 fastegi dianacarcam hackec evos detalles reapertura ispconfig pal 


biblioteca ves edu sv 


Hacked By CORT3X 





Al parecer según ésta imagen CORT3X tiene interés por la animación japonesa. 


La página web de la biblioteca se encontraba así: 





Las modificaciones hechas al sitio dejan dos cuestiones en evidencia: 


- Pertenece a un grupo o asociación de hackers llamada «Pacman Corp». 


- El individuo no tiene buen dominio del inglés o ha utilizado el traductor para dejar 
su lema en la página, ya que no tiene ninguna lógica «The university is as bad as 
the university», el texto no posee una Buena sintáxis. 


Ahora nos dirigimos al sitio zone-h para comprobar los registros de la actividad de CORT3X, 
que muestra que lleva contabilizado desde 2019 de forma official más de 2,600 
notificacines. 
https://archive.is/o/BcnO0K/https://zone-h.net/archive/notifier=CORT3X/page=50 
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Total norifications: 2,672 df which 971 single p and 1,701 mass defacements 


Legend 

H - Homepage delacement 

M - Mass defacerment (click to view all defacerments of rivis 19 

R - Redefacement (click to view all defacements of this site 

L - 1P address location 

* - Special defacement (special defacements are important websites 












Date HMRL *% Domain os 

2019/01/23 a El — mmmesanctumacademy.com/t3x.htm Linux 

2019/01/22 Mm Bi gnanherbs.com/t3x.htm Linux 

2019/01/22 Hi sesfremedia.com/t3x htm Linux 

2019/01/22 Mi renashutoshrubbeccom/tIx.htm Win 2016 

2019/01/21 PA eimppandanaranplupuh.sch.id/tdx Linux 

2019/01/21 a neolahayward.co.29/13x.btm Linux 

2019/01/20 HE dedbhaicom/td htm Linux 

2019/01/20 Mm 2 sesdworid.coin/tix htm Linux 

2019/01/20 Mm 2 mmpretechcomputers.in/tdx htm Linux 

2019/01/20 Mm 2 consesin/t3xhrm Linux 

2019/01/20 Mm 2 igstalcom/tihtm Linux 

2019/01/20 M 2 nexmpost.co.ln/tixhtm Linux 

2019/01/20 Mm 2 mmeshivisiecid.com/t3x.htm Linux 

2019/01/20 Mm 2 detin/tixhtm Linux 

2019/01/20 Mm 2 dhruveports.com/tixhtm Linux 

2019/01/20 ada ezoskchemare.com/tichtm Linux 

2019/01/20 HE mmnecoprimac.com.pe/tixbtm Linux 

2019/01/19 Mi intimobiaria.pajt3x.hem Linux mirros 
2019/01/19 Hi mm threemcequeens com/tIx.btm Linux mirror 
2019, <=  meidoxcarrentals.com/t3xhtm Linux mero 
2019, Hd zenthiberiacom/tixhtm Linux 

2019/01/18 Mm 2 carhireciótixhem Linux 

2019/01/18 Mi Boralcomstructions.com/tIx.btm Linux 

2019/01/18 CORTIX a wwew.studyplus.co.mz/t3xu htm Lima 

2019/01/17 CORTIX PR nm banisherbaindocom/tIx. htm Unknown 





21 22 23 24 23 26 27 28 29 30 31 32 33 34 33 36 37 38 39 40 41 42 43 44 45 46 47 48 49 90 
DISCLAIMER: al the information contaned in Zone-H's cybercrime archive were ether colected onine from pubie sources or directly notfed 
amonymousty to us. Zone-H is neither responsible for the reported computer crimes nor £ is directly or mdirectiy mvolved with them. You might find some 
offensive contents in the mirrored defacements. Zone-H didnt produce them 19 ve cannot be responsible for such contents. Resd more 


Podemos notar entre otras cosas aparte del gran número de defaces es que ha 
comprometido varios sitios .gov, además de que todos sus defaces tienen la misma 
estructura, una imagen, su firma personal y con la de compañeros de su grupo, raramente 
se le ve firmando solo una página web, deja un medio de contacto y lo más importante de 
tdo es que siempre el deface va en un archive html llamado “t3x.htm” algo que no se nota 
en el hackeo a la UES . 


He aquí un 
ejemplo de 
deface: 


un 





[ Hacked by CORT3X ] 


We Are: | TRIPL3_DOWN | Khatulistrwa | DARK_CYB3R | CORT3X | XALVADOR_ | Mr 4c1L Cr0tZz | s1sskayy_cyb3r | PyschoRzy | KECOA_T3RBANG 
Thanks to: | Cr0w_ID | /Fnuu | D3x | Exodus404 | Samba77 | Nus4ntara | Ms KasX | 4WardHost404 ¡ Sadistic Killer ¡ Woch:011 ¡ CRAZYC0D3-ID | Ms Fay | Gend3ruwó | p0r7s 


Greer 
Pacman Comp 


[ contact kanghaxorúl gmail com ] 


En la adquisición de información logré recopilar algunos emails utilizados: 


e kangahaxorOqmail.com 


.  CcOrt3x021(OWgmail.com 
.  ryuukatsumi21 (gmail.com 


Intenté hacer uuso de distintas herramientas para comprobar si algún email había sido 
expuesto en alguna filtración de datos pero la búsqueda fué infructuosa, si se hubiera 
logrado obtener información arroaria datos como contraseñas, sitios en los que se ha 
registrado, direcciones IP, et. 


Hay varios defaces que hacen conexión a sus redes sociales y las de su grupo, las cuales no 
tienen muchos seguidores y además claramente se ve que están administradas por 
personas que viven en Indonesia. 


Q mts O spid Q Pacr Y Mer E rch O http A Seco OQ rede Y Frede | (7 Face Q 1Dse ) Dow Q Hack: Y Ha x (3 Pacr + 0 Xx 
C  ñ weaversofdreams.com. t * BO % cn. [0] o 


Hacked by CORT3X 


MNatsuki Tatsuya E7 P, 


op $» ContaciMe 





He aquí la lista de redes que conseguí: 


e Sitio web oficial de 


PacmanCorp: https://www.facebook.com/OfficialPacmanCorpTeam 


. IDsecTeam Official: http://facebook.com/IDsecTeam-Official- 
401667713575598/ 
+. Y para finalizar el facebook oficial de cOrt3x que se correlaciona en uno de 


sus defaces: https://www.facebook.com/cortex.ip 


Lo más importante es el perfil personal de él: 


Tatsuya Shirokane 


Rinko 
Biografía Información Amigos Fotos Videos Más y a Cancelar solicitud |») [el 


Sr 7 Y a 
MES Tatsuya Shirokane actua 


10 de julio a las 11:27 
£% Vive en Kioto 


Q Se unió en: Octubre de 2017 


ES ryuu-katsuminet 


2 Compartir 


Ver comentarios 


Cm Tatsuya Shirokane actua 
y 


4 de julio a las 11:10 





Obtenemos información como su fecha de registro en facebook, octubre de 2017, enlace 
de su blog personal y un enlace a su perfil de zone-h.org. 


Revisando entre sus fotos de perfil, encontré esta, subida el 3 de enero, hice una 
búsqueda inversa infructuosa, que confirma que la imagen ha sido subida sólo por él, he 
aquí CORT3X: 





Logré entrevistar brevemente al administrador de la página official del grupo hacktivista 
primero: 


8:23AM BH O 41,0KB/s | € % GD) 


€ £a PacmanCorp Tea... OQ (5) 


2 


a . 
Ny 
má 


PacmanCorp Team 


A 639 personas les gusta esto 


Terima kasih sudah 


mengirimkan pesan. Kami akan 
mencoba membalas secepat 
mungkin. Kami akan segera 


menghubungi Anda. 
y 9 Interview ? He is from 


Le Indonesian ( CORT3X) 


€ ta PacmanCorp Tea... UY] O 


CORT3X told me, the one who 
hacked the site wasn't him, but 
someone else who resembled 
a] 


CORT3X has not committed 
deface since a few months ago 


and this team has been 
disbanded for a long time 


yes i know, what's up? 


ok, let me ask him permission 


oa 





Bien, confirmamos algunas cosas, primero que CORT3X vive en Indonesia, que CORT3X 
asegura no ser el autor del deface, que alguien está suplantando su identidad, que lleva 
algún tiempo sin realizar defaces y que además el equipo de hackers lleva desmantelado 
algún tiempo, ahora veamos qué dice el hacker CORT3X: 


9:18AM A A ASE ERE) 


¡O a 


Tatsuya Shirokane 


Tú y Tatsuya no estáis conectados en Facebook 


9:06AM A fa 0,8KB/s | € 3 (3) 


Mm 


€ ¡47 Tatsuya E Bs 


Universidad de El Salvador - 
BE] 


e it's not me, someone uses my 
e: ES 


Yes? how bro? 


y 
ATA 


most likely the culprit is around 


you bro 


| have never written words like 
that in my script 


| do without a clear base, so | 
do it to get rid of boredom 


uj* 
ES O 
Y 








Al finalizar nuestra coversación le hice la siguiente pregunta: 


¿Cuál es el objetivo de los grupos como el tuyo dedicados a defacear sitios web, sólo 
defacearlos o extraer información de ellos? 


A lo que me respondió: 
Lo hago sin objetivos claros, lo hago sólo para matar el aburrimiento. 


No parece que un ataque sofisticado que tuviera como objetivo el sistema Prometeo fuera 
vulnerado por una persona como ésta. 


Inteligencia 


Teniendo en cuenta los patrones de ccomportamiento de CORT3X a la hora de realizer 
ataques, entre ellos: 


- — Atribuirse oficialmente un deface. 

- Vincular un correo electrónico o su perfil en la red social facebook. 

- Subir el deface en un archivo tex.htm. 

- Cuando se hace mención de se grupo deja las firmas de los demás integrantes. 
- —Noprofundiza en los sitios web comprometidos. 

- No deja ese tipo de frases plasmadas en los sitios web. 

- Ocasionalmente hace referencia a la animación japonesa en sus defaces. 


Además desde las páginas oficiales se nos dice que elk grupo había sido desmantelado 
hace tiempo. 


Y el hackeo tuvo un impacto politico en la realidad naciona como podemos notar en el 
comunicado official de la ues en el sitio: 


eo] 10 [09 13]0 


Las autoridades de la Universidad de El Salvador informan a la comunidad 
universitaria que el Sistema Prometeo presentó una falla que desembocó 
en la interferencia del sitio web de la Biblioteca del Alma Mater. 


Afortunadamente, las notas de los estudiantes están resguardadas en los 
respaldos de la Dirección de Tecnologías de la Información (DTI) de la UES 
y no han sufrido modificaciones. 


Actualmente, el equipo de la DTI realiza estudios y análisis respectivos para 

restablecer el sistema y de encontrar indicios de vulneración de datos de 

la comunidad universitaria se interpondrá la denuncia ante la Fiscalia 
General de la República, ya que esta información es un bien público. 


Tememos que esto sea un ataque a la UES por su reciente posición crítica 
ante la deuda presupuestaria de casi $13 millones de dólares a la casa de 
estudios y por otras opiniones respecto al contexto de la realidad nacional. 


UNIVERSIDAD DE EL SALVADOR 


ES /0/0) 
y [DE LA NACION 


vt 
Ministerio de Hacienda a a $12.9 


millones a la Universidad de El Salvador 


a 


El nad 
e od de 


a 


Lo que puede dar a enteder que alguien suplantó la identidad de CORT3X para pasar 





desapercibido ante la vista pública, pero no comprendía el modo operative de CORT3X lo 
cual deja en evidencia el actuar el día 11 de julio, ésta persona tenia como finalidad 
utilizar este evento para llamar la atención del gobierno por el pago adeudado en aquel 
entonces, posiblemente sea una persona que trabaje dentro de la institución. 


Cronograma 


Cronograma del mes de Julio 


El siguiente diagrama de Gantt nos ayuda a visualizar de manera cronológica el ciclo de investigación durante el 
mes de Julio a partir del día sábado 11 


Sitio web 


comprometido 


Entrevista a 
CORT3X 
Emisión de 
Comunicado 
UES 
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Glosario 


Sistema PROMETEO: Sistema de Registro Académico Centralizado, que reúne los proceso llevados 
a cabo por las diferentes unidades académicas y facultades, permite realizar procesos como 
registro académico, graduaciones, expediente en línea y procesos de gestión financiera, 
administración, entre otros. 


Deface: Es un ataque a un sitio web que cambia la apariencia visual de una página web. 
Normalmente son producidos por hackers que obtuvieron algún tipo de acceso a ella, bien por 
algún error de programación de la página, por algún bug en el propio servidor o por una mala 
administración de este. 


Rasomware: Un ransomware, o «secuestro de datos» en español, es un tipo de programa dañino 
que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un 
rescate a cambio de quitar esta restricción. 


Bitcoin: Bitcoin es un protocolo, proyecto de código abierto y red entre iguales que se utiliza 
como criptomoneda, sistema de pago y mercancía. Fue concebida en 2008 por una entidad 
conocida bajo el seudónimo de Satoshi Nakamoto, cuya identidad concreta se desconoce. 


Hacktivismo: (acrónimo de hacker y activismo también conocido como ciberactivismo) Se 
entiende normalmente "la utilización no-violenta de herramientas digitales persiguiendo fines 
políticos. 


Data breach: Es el acceso por partes no autorizadas a datos de acceso restringido. Su peligro 
existe por la exposición de información y archivos confidenciales a personas no autorizadas sin 
permiso. 


